Киберпреступление и наказание. «гений киберпреступности» из Украины слил себя за свои же деньги
NewsMakerРассказываем историю самого нелепого саморазоблачения года.
Разработчики вредоносного ПО сами стали жертвами уязвимости, которую не заметили в собственной инфраструктуре. Речь идёт о распространённом инфостилере StealC, функционирующем по модели «вредоносное ПО как услуга» и активно использующемся для кражи cookies, паролей и других конфиденциальных данных. Несмотря на внешнюю «профессиональность» продукта — с удобной панелью управления, системой отслеживания кампаний и мнимой операционной безопасностью — уязвимости в его веб-интерфейсе обернулись против самих создателей.
Переход на вторую версию StealC весной 2025 года ознаменовался чередой неудач. Почти сразу после релиза утёк исходный код панели управления, а команда TRAC Labs выпустила критический технический разбор с говорящим названием «Аутопсия неудачного стилера» . Однако за пределами заголовков остался более важный эпизод — уязвимость в панели позволила специалистам получить доступ к данным злоумышленников, включая отпечатки систем, активные сессии, украденные ими куки и IP-адреса, с которых осуществлялся доступ к панели.
Ошибка XSS в панели StealC оказалась настолько простой, что позволила подключиться к сессиям злоумышленников и управлять ими со сторонних машин. Специалисты отмечают иронию ситуации: разработчики инструмента для массовой кражи cookies не обеспечили даже базовую защиту собственных данных, проигнорировав функции безопасности, такие как httpOnly.
Особое внимание исследователей привлёк оператор, обозначенный как YouTubeTA. Его вредоносные кампании строились на использовании старых YouTube-аккаунтов, ранее загружавших легитимные видео. Спустя время такие аккаунты начинали распространять вредоносные файлы, замаскированные под взломанные версии программ Adobe.
Разработчики вредоносного ПО сами стали жертвами уязвимости, которую не заметили в собственной инфраструктуре. Речь идёт о распространённом инфостилере StealC, функционирующем по модели «вредоносное ПО как услуга» и активно использующемся для кражи cookies, паролей и других конфиденциальных данных. Несмотря на внешнюю «профессиональность» продукта — с удобной панелью управления, системой отслеживания кампаний и мнимой операционной безопасностью — уязвимости в его веб-интерфейсе обернулись против самих создателей.
Переход на вторую версию StealC весной 2025 года ознаменовался чередой неудач. Почти сразу после релиза утёк исходный код панели управления, а команда TRAC Labs выпустила критический технический разбор с говорящим названием «Аутопсия неудачного стилера» . Однако за пределами заголовков остался более важный эпизод — уязвимость в панели позволила специалистам получить доступ к данным злоумышленников, включая отпечатки систем, активные сессии, украденные ими куки и IP-адреса, с которых осуществлялся доступ к панели.
Ошибка XSS в панели StealC оказалась настолько простой, что позволила подключиться к сессиям злоумышленников и управлять ими со сторонних машин. Специалисты отмечают иронию ситуации: разработчики инструмента для массовой кражи cookies не обеспечили даже базовую защиту собственных данных, проигнорировав функции безопасности, такие как httpOnly.
Особое внимание исследователей привлёк оператор, обозначенный как YouTubeTA. Его вредоносные кампании строились на использовании старых YouTube-аккаунтов, ранее загружавших легитимные видео. Спустя время такие аккаунты начинали распространять вредоносные файлы, замаскированные под взломанные версии программ Adobe.